AccessControl ac = AccessControl.getAccessControl(request);

Cyber-AngriffeSo verwundbar sind Unternehmen in der vernetzten Welt

IT-Vorsorge: Cyberkriminalität wird von vielen Betrieben noch immer unterschätzt. Studien zeigen: Reagiert wird viel zu oft erst dann, wenn man selbst betroffen ist. Ein fahrlässiger Zugang.

Unvorsichtige Mitarbeiter gelten laut EY-Studie als potenziell größte Sicherheitslücke in Betrieben
Unvorsichtige Mitarbeiter gelten laut EY-Studie als potenziell größte Sicherheitslücke in Betrieben © WKO/Fischer
 

Es ist ein durchaus treffender Vergleich, den der IT-Experte Götz Schartner zieht: "Das Internet ist wie Autofahren: toll und gefährlich." Er weiß, wovon er spricht. IT-Sicherheit in Unternehmen ist das Hauptgeschäft seiner Firma "8com". Deshalb versucht er mit Büchern und Vorträgen das Bewusstsein über die Stolperfallen des Internets zu schärfen. Vorsorge 2.0 gewissermaßen.

Denn: "Man wird in der Zukunft zwar ohne Auto leben können, aber nicht ohne Internet." Vor Dutzenden Zusehern zeigte Schartner im Rahmen des zweiten Wissensforums, wie einfach man heute fremde Computer und Handys "übernehmen" kann.

Binnen weniger Minuten wurde ein neuer Trojaner geschaffen, SMS im Namen zweier Zuseher versendet und ein Smartphone gekapert. "Dazu muss man kein Programmierer sein, das kann heute jedes Kind." Wie man sich schützen kann: "Kenne das System und seine Schwächen und verwende nie das gleiche Passwort."

Auf das Notebook achten

Hinzufügen könnte man auch den guten Rat, das eigene Notebook nie unbeaufsichtigt zu lassen. Genau diesen Fehler hat Schartners Vorredner gemacht, der Trendforscher Axel Liebetrau. Prompt wurde daher sein Laptop gehackt.

Tipps für Konsumenten

Router-Einstellungen: Wer von einem Telekom-Anbieter ein Modem bekommt, kennt das: Meist am Boden des Geräts stehen WLAN-Name und Passwort. Beides sollte man sofort ändern, denn Listen mit besagten Passwörtern werden regelmäßig von Hackern erbeutet.

Passwörter: Ein großer Fehler vieler Internetnutzer: Ein Passwort für mehrere Webseiten. Wird eine dieser Seiten gehackt, hat der Angreifer die Passwörter für die anderen Zugänge. Daher: Jedes Passwort nur einmal verwenden. Passwort-Manager-Apps wie LastPass oder Dashlane helfen dabei. Ein sicheres Passwort kann man auch mit „persönlichen“ Sätzen bilden, z. B. lässt sich aus „Ich habe 4 Enkelkinder, 2 davon sind Mädchen“, das Passwort „Ih4E2dsM“ erstellen.

Multi-Faktor-Authentisierung: Man kennt es vom E-Banking. Auch wenn man eingeloggt ist, bekommt man bei Überweisungen eine SMS mit Freischalt-Code. Immer mehr Webseiten bieten diese Art des doppelten Schutzes an. Ein Log-in kann dann nur noch mittels Passwort und SMS-Code stattfinden.

Virenschutz und Updates: Egal ob Smartphone, PC oder Laptop: Ein aktueller Virenschutz und regelmäßige Systemupdates erhöhen die Sicherheit um ein Vielfaches.

Dabei ist Liebetrau selbst alles andere als ein Warner vor der Digitalisierung. Man müsse dieser vielmehr offen gegenüberstehen. "Die Dualität zwischen digitaler Wirtschaft und analoger wird sich auflösen." Geschäften, die nur auf Mensch-zu-Mensch-Beziehung bauen, gibt Liebetrau wenig Zukunftschancen. "Jeder braucht digitales Know-how."

Der "spielerische" Charakter von Schartners Vortrag hat einen zentralen pädagogischen Wert. Und doch zeigt sich, dass trotz der zahlreichen, teils spektakulären und millionenschweren Schadensfälle vielfach erst die direkte Betroffenheit zu einem Umdenken führt. So lautet ein zentraler Befund der aktuellen "Global Security Survey" der Prüfungs- und Beratungsorganisation EY: "Erst wenn ein echter Schaden entstanden ist, sehen es drei Viertel der Befragten als wahrscheinlich an, dass auch die Ausgaben für Cybersecurity steigen."

Viele reagieren zu spät

Ein schwerer Fehler. "Unternehmen, die erst reagieren, wenn das Kind in den Brunnen gefallen ist, handeln fahrlässig", betont EY-Cybersecurity-Experte Gottfried Tonweber. Denn der Schadensfall könne schnell "verheerende Auswirkungen haben". Auch Drazen Lukac von EY Österreich warnt vor Sorglosigkeit und mangelnder IT-Vorsorge, denn auch abseits des finanziellen Schadens droht Ungemach: "Kundendaten und Geschäftsgeheimnisse können in die falschen Hände geraten und einen nachhaltigen Vertrauensverlust nach sich ziehen."

Tipps für kleine und mittlere Unternehmen

Was für Konsumenten gilt, sollte auch jeder Unternehmer beachten. Doch damit ist es nicht getan.

Kenne dein System: In großen Konzernen gibt es IT-Abteilungen, die den Überblick über alle Computersysteme haben, die eingesetzt werden. In KMU fehlt diese Abteilung oft. Dennoch sollte jemand den Überblick über die eingesetzten Computer und Programme haben und dafür Sorge tragen, dass diese regelmäßig mit Updates versorgt werden.

Alte Maschinen: In Fertigungsbetrieben haben Maschinen eine Lebensdauer, die weit über zehn Jahre hinausgeht. Nur selten gibt es Updates für die Geräte. Das macht sie anfällig für Cyberangriffe. Es ist wichtig, diese Schwachstellen zu kennen, um sie zu schützen.

Back-ups: Eine der häufigsten Angriffsmethoden sind sogenannte Cryptolocker. Dabei wird die Festplatte eines Systems verschlüsselt. Nur gegen Zahlung von Lösegeld bekommt man wieder Zugriff. Werden Daten regelmäßig gesichert, spart man sich das Lösegeld.

Cyberversicherung: Gerade für KMU gibt es Cyberversicherungen, welche die Folgen solcher Angriffe abfedern. Für Privatpersonen kann dieser Schutz oft als Teil der Haushaltsversicherung gekauft werden.

 

Auch für Österreich fördert die Studie zutage, dass "speziell die Personalausstattung verbesserungswürdig" ist. So gibt die Mehrheit der Unternehmen an, "dass sie noch nicht ausreichend personelle Kapazitäten für Informationssicherheit vorgesehen haben". Die Suche nach einer Digitalisierungsstrategie sei "gleichzeitig die Chance, Cybersecurity von Anfang an mitzudenken und sie zu einem integralen Bestandteil der Geschäftsprozesse zu machen", so Tonweber, der auch betont: "Unternehmen sind gut beraten, Cybersecurity als mitentscheidend für den Geschäftserfolg anzusehen und zur Chefsache zu machen."

Lukac verweist auf eine weitere offene Flanke, die häufig auch mit der jeweiligen Unternehmensgröße zu tun hat: "Gerade kleinere Unternehmen haben oft nicht die Mittel oder Strukturen, um Angriffe sofort zu erkennen. In Österreich sieht sich weniger als die Hälfte der Unternehmen in der Lage, einen umfassenden Cyberangriff zu erkennen." Wenn es um die potenziell größten "Sicherheitslücken" geht, menschelt es auch in der digitalen Welt ganz besonders. Denn jeder dritte Befragte nennt "unaufmerksame beziehungsweise unvorsichtige Mitarbeiter als Einfallstor für Cyberkriminelle".

Mitarbeiter schulen

Zum Vergleich: Nur ein Viertel macht veraltete Sicherheitsprogramme dafür verantwortlich. Ergo: "Mitarbeiter müssen kontinuierlich geschult und über Datensicherheit aufgeklärt werden", betont Tonweber. Hier sind es nach wie vor auch "Klassiker", die zur Falle werden können. Daten aus dem ersten Halbjahr 2018 würden zeigen, "dass täglich 6,4 Milliarden Fake-Mails im Umlauf sind. Solche Risiken können Firmen beispielsweise durch Trainingsprogramme minimieren."

Die Versicherungsbranche setzt sich ebenso intensiv mit dem Thema der Absicherung gegen Cyberattacken auseinander. "In zehn Jahren könnte es ein weltweites Marktvolumen von 20 Milliarden Euro geben", hieß es Ende 2017 etwa in einer Prognose der Allianz AGCS. Das Angebot wächst auch in Österreich, wie nur einige Beispiele zeigen: Die Generali bietet seit Ende Juni ein neues Cyber-Versicherungsprodukt für KMU, das neben der Deckung im Schadensfall auch eine Risikoanalyse mit einem automatisierten Präventionstool enthält. Auch die Uniqa hat bei der Betriebsversicherung eine Cyberdeckung im Angebot – jeweils für Haftpflicht, Technik und Betriebsunterbrechung.

Auch "Aon Austria" (Vero) offeriert ein Bündel an Produkten, das von Cybercrime-Versicherungen über Data-Risk- bis hin zu Internet-Versicherungen reicht. Mit dem Ziel, "finanziellen Folgen einer Cyberattacke abzufedern und den wirtschaftlichen Schaden gering zu halten", hat zudem die Donau Versicherung ein Cyberschutz-Paket für Unternehmen im Portfolio. Die Wiener Städtische bietet, individuell auf KMU ausgerichtet, das Produkt "Cyber-Protect". Was jedenfalls zu empfehlen ist: Vor Abschluss sollten die einzelnen Produkte verglichen werden, es empfiehlt sich auch eine Beratung.

Diskutieren Sie mit - posten Sie als Erste(r) Ihre Meinung! Kommentieren